探析计算机网络安全的入侵检测技术

鹿鸣

（陕西国防工业职业技术学院，陕西西安，710300）

1 入侵检测技术

第一，入侵检测技术的概念。计算机的运行前提是网络安全环境，当计算机受到恶意攻击、操作失误等不安全因素时，可能会出现计算机程序运行异常、数据丢失等现象。而计算机网络的入侵检测技术就是指当受到不安全因素时能够有效的隔离、删除潜在的病毒及恶意攻击代码，进而提高计算机网络系统抵御外来攻击能力的相关技术。其能够及时检测出计算机网络出现的安全问题,及时告知防火墙系统与其结合辅助抵抗入侵，总体上讲，入侵检测技术的应用能够弥补计算机防火墙技术工作中存在的不足问题。

第二，入侵检测技术的原理。入侵检测技术通过监听、识别、记录、分析系统及用户行为，将异常行为及问题向相关程序发出预警。计算机网络的入侵检测系统工作前会对其安全模式进行识别、扫描，在入侵检测系统工作中可发挥有效的监听、记录作用，不断的积累所监听记录到的信息，达到一定量时系统会对其数据进行自动分析，并与安全模式进行对比，进而可识别出可能存在的安全风险，并对异常问题发出预警。

2 入侵检测技术的类型及存在问题

第一，异常检测技术。异常检测技术是一种基于行为进行检测的方法，其通过付使用者使用的资源、行为进行分析，在通过与设置可保证计算机正常运行系统的硬盘空间、内存利用率等数据进行比较，根据与正常数据的偏离情况做出判断。异常检测技术观察的对象不是已知的入侵行为，而是对计算机运行中出现的异常状况（常见的有外部闯入、内部渗透、资源应用不恰当）进行监测分析。

异常检测技术的检测依据是网络界定参考阈值及特征量，在其应用前要对保证网络安全正常行为的界定范围、行为特点进行了解，在根据实际情况分析差别，因此网络特征量、界定参考阈值的选择是很关键的，确保代表性、价值性存在的同时要防止冗余特征量的发生；在界定参考阈值时要注意范围大小的合理性，提网络入侵检测结果的准确性。

异常入侵检测技术对检测系统的要求较高，其需具备强大的处理功能，但是在使用中仍然存在着许多问题：首先是如何有效通过数据来表示用户的正常行为的同时降低获取、处理数据的难度，通过不断对系统、用户的行为进行改变可保证正常模式的时效性，因此其需要持续更新。但是当处在持续更新中，用户行为突然发生改变时会增加误报问题的发生，降低了监测结果的准确性。其次存在问题较多的是网络界定参考阈值的合理确定，当设定值过高时，其会增加漏报问题的发生，当设定值过低时，其会增加误报问题的发生，导致不能全面的描述系统中所有用户的行为，加上用户频繁的发生动态改变时，导致出现的系统误报率较高。最后是体现在检测时间上，其检测方法的时间较长，且无法保证系统在训练中的正常运行。当系统处于训练状态时，其通过对用户模型的不断更新来使入侵行为转变成为正常行为，当其设定为正常模式时其会对降低对异常行为监测的准确性。

第二，误用入侵检测技术。误用入侵检测技术是收集可干扰计算机正常运行的不安全因素，在出现入侵情况后将其与已收集的情况、行为进行分析，当入侵的情况与参照的情况相匹配时，可判断计算机网络受到安全入侵行为，反之不匹配时则在判断计算机网络处在安全的环境中，因此可以看出检测结果、技术的准确性受到构造模式的影响。

误用入侵检测技术分为基于键盘监控、条件概率、状态迁移分析的入侵检测，其优势是能够依据入侵特点来构建模式库，并对入侵特点进行发现、收集，实现检测入侵行为的同时避免计算器网络受到同样的入侵攻击。但是在实际误用入侵检测技术的应用中仍然存在着不足之处，首先是该种检测技术只能检测已知的入侵行为，受到入侵模式库的局限而不能检测未知攻击，同时也不能检测已知攻击形式的变化。其次是误用入侵检测技术的实施前提是具备完善的入侵模式库，及时更新出现的新入侵方法，因此其维护的工作量也较大。

3 计算机网络安全的入侵检测技术的应用及意见

第一，收集信息工作。在实际工作前应该完成入侵检测技术的信息收集工作，通常包括系统、网络日志中的数据、文件中改变的数据、应用程序执行时产生的数据、物理形式侵入的数据,其包含的四个数据源是入侵检测技术在进行端口调试中要收集的内容。为了保证计算机系统的安全，在收集数据源时需要对检测对象进行反复确认,确保收集的数据源中无异常信息的出现。

第二，分析并处理信息工作。入侵检测系统收集完信息数据后就需要进行数据的分析、处理工作，在实际工作中多应用模式匹配模式、异常情况分析模式，识别、处理存在问题及安全隐患的数据源，并向信息管理器传达处理后的结果,管理器进行最后的分析。信息的分析、处理具有规范化、标准化的特征,可妥善处理计算机网络中存在的安全问题,网络技术对问题进行自行分析后并传达给控制器，进而可入侵检测技术的智能化、专业化，保证计算器网络的安全性。在信息数据处理问题的过程中,对信号的读取、解析通常均是单一性质的,但是在入侵检测技术中的处理中，有异常问题的信息数据会在系统中及时告知,将处在实时监控下的异常信息以日志的形式被记录,直至存在的问题被入侵检测系统处理排除。

第三，响应信息及应用于防火墙系统技术。响应信息是指入侵检测系统对异常信息及行为作出的合理化反应，其会依据信息实时变化的状态来查看会话记录，并将信息上报给控制台来对异常的信息进行优化处理。防火墙技术是计算机中多用的一种应用层、网络层的控制技术，通过应用防火墙技术能够有效保护用户电脑中的数据资源。在通常的情况下，网络入侵进行的攻击行均会被防火墙所阻挡。但是随着科学技术的不断进步，网络入侵技术也在不断的升级,应用传统、单一的防火墙技术已经不能满足计算机用户的实际需求,因此在后期入侵检测技术的应用中应当将其入侵检测技术、防火墙技术进行实践结合，确保防火墙发挥过滤机制的同时发挥人侵检测技术清除攻击性数据的能力。

第四，优化入侵检测技术，加深与其他新兴技术的融合。举例来说，大数据时代背景下，云计算、分布式计算、数据挖掘等智能化的计算、处理方式出现，将云计算技术与网络入侵检测技术结合可节约空间、降低检测成本；将分布式计算技术与网络入侵检测技术结合可分解复杂的问题，提高检测的全面性。

4 结语

随着信息化网络技术的不断进步，大数据在我国各个领域中发挥重要的作用,在给人们带给改变的同时计算机网络安全问题也日益突出，因此深化入侵检测技术的研究及技术，可有效保证数据库中信息的安全性，进而促进我给计算机网络事业的长期发展。